複数条件のホワイトリスト
ホワイトリストにGuest PCのTeamViewer IDとユーザの双方を複合条件で登録することはできないでしょうか。またはそれに相当する代替手段はありますでしょうか。
背景:
100台超規模のリモートアクセスをTeamViewerを使って構築しております。会社の配布PCからのアクセスのみ許可するため、各Guest PCのTeamViewer IDをスタッフ各自のHost PCにホワイトリスト登録しております。
しかしながら上記設定ではユーザにGuest PCのTeamViewerでサインインを強制できないため二段階認証をせずに、Host PCの個人パスワードまたはランダムパスワードに依存してしまいます。
アカウント割り当てを行い簡易ログインさせる方法も検討しましたが、管理者からのポリシー配布ができなくなってしまうため、メンテナンスの観点から断念しております。
ユーザに二段階認証でTeamViewerにサインインをさせつつGuest PC特定した形でのホワイトリストを適用するような構成はとれないでしょうか。
コメント
-
ご投稿ありがとうございます。
まず2段階認証についてですが、こちらはアカウントにサインインをする際に利用するツールとなっており、遠隔操作時には関係がございません。
デフォルト設定(2段階認証を設定していない場合)では、初めてその端末にサインインを行う場合に、不正アクセスを防ぐためメールアドレスの持ち主がサインインをしているということで間違いがないか認証確認メールが送られます。メールの中のリンクをクリックし本人である証明をした後初めてその端末でアカウントにサインインができるようになる仕組みです。
ただ、このメール送信に関して出先にいて認証作業が出来ない場合などに備えて2段階認証を設定いたします。こちらは携帯端末に2段階認証アプリを導入していただくことで、認証メールを送信する代わりに都度、アカウントサインイン時にアプリに生成されるパスワードを入力してサインインを行います。
以上がアカウントにサインインするために必要な認証メール及び2段階認証の仕組みです。
よってホワイトリストで特定のTeamViewer IDからのみの遠隔操作を可能にした上で、各ユーザーに2段階認証の設定をしていただくことは可能となっております。
お客様のご意向としては、各ユーザー(社員が)リモートアクセスライセンスが紐づいているアカウントにサインインが可能な端末に制限をかけたいということでしょうか。
その場合残念ながらTeamViewerではその機能がございませんが、仮に端末Aから端末Bへの遠隔操作を可能としている場合、端末Cにてアカウントにサインインをしたとしても端末Bへ遠隔操作をすることはできませんのでホワイトリスト(AからBのみの遠隔操作許可)がきちんと適用されます。以上が回答となりますが、私の理解が不足している場合やその他ご不明点等ございましたらお気軽にご投稿くださいませ。
よろしくお願いいたします。Former Japanese Community Moderator0 -
早速のご回答ありがとうございます。
個人パスワードまたはランダムパスワードのみよりも、二段階認証のほうがより強いセキュリティを実装できると考え、ユーザにサインインを強制し二段階認証させ、サインインしていない状態でのリモートアクセスを禁止できないかと考えている次第です。
概念的にはサインイン時の二段階認証にこだわらずとも、
- Guest PCのTeamViewer IDで制限をかけている時点でその端末を持っている(持つ要素)
- リモート接続先の個人パスワードまたはランダムパスワードを知っている(知る要素)
ということで二要素認証を達成していると見なすこともできますが、端末所有よりもAuthenticatorを通した二段階認証のほうがより強固と考え、上記の検討をしておりました次第です。現状TeamViewerとしてはサインイン時の認証とリモートアクセス時の認証は別の物として取り扱っているものと理解いたしました。
0
